롯데카드 해킹, 보안책임자 겸직 관행 민낯 드러냈다

롯데카드 해킹은 카드사 보안 관리의 구조적 허점을 드러냈다. 공격이 시작된 지 17일이 지나서야 사고를 인지했는데, 이는 대부분 카드사가 보안책임자(CISO)를 겸직 체제로 두는 현실과 맞닿아 있다는 지적이다.

3일 금융권에 따르면 금융감독원은 롯데카드 해킹 사고와 관련해 지난 2일 현장검사에 착수했다.

롯데카드는 지난달 26일 서버 점검 중 악성코드와 웹셸을 발견해 삭제했고, 31일 온라인 결제 서버에서는 자료 유출 시도가 확인돼 다음날 금융당국에 신고했다. 지금까지 파악된 유출 시도 데이터는 약 1.7GB 규모지만, 개인정보 유출 여부는 확인되지 않았다고 회사 측은 밝혔다. 현재 롯데카드는 967만명의 고객을 보유하고 있으며, 신용판매 시장점유율은 10%를 웃돈다.

금융감독원이 국회 정무위원회 소속 강민국 의원실에 보고한 자료에 따르면, 롯데카드 해킹은 지난달 14일 오후 7시 21분부터 15일까지 이틀간 시도돼 두 차례의 실제 파일 유출이 있었으며, 16일에도 추가 공격이 있었으나 실패했다. 그러나 롯데카드는 이를 17일이 지난 31일 정오에서야 인지했고, 하루 뒤인 1일 금융당국에 신고했다.

금감원은 이번 검사를 통해 사고 경위와 피해 규모를 조사할 예정이다. 이찬진 금감원장은 카드 해지·재발급 안내, 전용 콜센터 운영, 이상금융거래 모니터링 강화를 지시했다. 특히 이 원장은 롯데카드 측에 카드 부정사용 등의 피해 발생에 대비해 전액 보상 절차를 마련할 것을 주문했다.

이 원장은 전날 열린 임원회의에서 "금융회사 최고경영자(CEO) 책임 아래 소비자보호 관점에서 자체 금융보안 관리체계를 전면 재점검하라"라며 "관리 소홀로 인한 금융보안 사고에 대해 엄정 제재할 것"이라고 강조했다.

그러나 대다수 카드사들이 여전히 CISO를 다른 직책과 겸직시키고 있어 보안사고 발생 시 즉각적인 대응이 어려울 것이라는 우려가 나온다.

금융보안원에 따르면 국내 은행·증권·보험·카드사의 약 80%가 CISO, 개인정보보호책임자(CPO), 신용정보관리·보호인(CIAP)을 동일인에게 겸직시키고 있다.

롯데카드 역시 CISO를 맡은 최용혁 정보보호실장이 CPO와 CIAP까지 겸직하고 있으며, 전업 카드사 7곳(신한·삼성·현대·KB국민·하나·우리·BC카드)도 비슷한 구조다.

현행 여신전문금융업법은 카드사가 해킹 등으로 인한 부정 사용 피해를, 소비자가 고의나 중대한 과실이 없는 한 전액 보상하도록 규정한다. 이 때문에 보안 사고가 곧바로 카드사의 재무 리스크로 이어질 수밖에 없다.

앞서 롯데카드는 2014년에도 KB국민·NH농협과 함께 1억여 건이 넘는 고객정보 유출 사고를 겪은 바 있다. 당시에는 외부 해킹이 아닌 신용평가업체 직원의 범행이었지만, 이번에 개인정보 유출이 확인된다면 11년 만에 재발되는 것이다.

금융권 관계자는 “중소형사의 경우 인건비 부담으로 겸직 체제를 유지하는 경우가 많다”며 “이번 사태를 계기로 겸직 제도 개선 논의가 다시 불거질 수 있다”고 말했다.